Polska państwem bezpiecznym cybernetycznie? Druzgocący raport NIK

Polska państwem bezpiecznym cybernetycznie? Druzgocący raport NIK

Dodano:   /  Zmieniono: 
(fot. sxc.hu) Źródło: FreeImages.com
Najwyższa Izba Kontroli opublikowała wyniki kontroli dotyczącej bezpieczeństwa cyberprzestrzeni w Polsce. Nie są one pozytywne. Dotychczas nie zdecydowano się na rozpoczęcie spójnych i systemowych działań w zakresie monitorowania i przeciwdziałania zagrożeniom występującym w cyberprzestrzeni. Zdaniem kontrolerów, jednym z powodów był brak ośrodka decyzyjnego, który mógłby koordynować działania w tym zakresie, drugim natomiast bierne oczekiwanie rozwiązania, które w tym obszarze ma zaproponować Unia Europejska.
NIK oceniła, że podmioty państwowe chroniąc cyberprzestrzeń ograniczały się do doraźnego reagowania na bieżące wydarzenia i oczekiwania na unijne regulacje.

Kluczowym czynnikiem paraliżującym aktywność państwa w tym zakresie był brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych. Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyberprzestrzeni, stanowiącej podstawę dla działań podnoszących bezpieczeństwo teleinformatyczne. Nie określono też struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowano obowiązków i uprawnień jego uczestników oraz nie przydzielono zasobów niezbędnych do skutecznej realizacji zadań. A co najważniejsze nie przygotowano procedur reagowania w sytuacjach kryzysowych, związanych z cyberprzestrzenią. W ocenie NIK, istotnym czynnikiem wpływającym negatywnie na realizację zadań w obszarze bezpieczeństwa w cyberprzestrzeni było niewystarczające zaangażowanie kierownictwa administracji rządowej, w tym Prezesa Rady Ministrów, w celu rozstrzygania kwestii spornych między poszczególnymi urzędami oraz zapewnienia współdziałania organów i instytucji związanych z bezpieczeństwem teleinformatycznym państwa.

Są pozytywy

Kontrolerzy znaleźli jednak kilka działań pozytywnych. Wśród nich są: powołanie i utrzymywanie na wysokim poziomie zespołów CERT (zespołów ds. bezpieczeństwa informatycznego) przez takie instytucje jak NASK, ABW oraz MON; utworzenie przez Ministra Obrony Narodowej systemu reagowania na incydenty komputerowe w resorcie obrony narodowej oraz wyspecjalizowanej jednostki - Narodowego Centrum Kryptologii; upowszechnianie przez Rządowe Centrum Bezpieczeństwa wytycznych i dobrych praktyk z zakresu ochrony teleinformatycznej infrastruktury krytycznej; prowadzenie przez NASK i Policję aktywnych działań edukacyjnych dotyczących m.in. przestępczości komputerowej i bezpieczeństwa w cyberprzestrzeni.

NIK zauważa, że poszczególne kontrolowane podmioty posiadały własne, odrębne procedury zapobiegania zagrożeniom w cyberprzestrzeni. Ale suma tych systemów nie tworzyła spójnej całości - jednego spójnego systemu.

Ponadto NIK wykryła, iż minister administracji i cyfryzacji , który to minister odpowiada za ochronę cyberprzestrzeni nie realizował należących do niego zadań w zakresie zarządzana krajowym systemem ochrony cyberprzestrzeni. Równocześnie nie dysponował on zasobami pozwalającymi na realną ich realizację.
 
Minister Spraw Wewnętrznych nie realizował żadnych zadań związanych z budową krajowego systemu ochrony cyberprzestrzeni. Działania Ministra w obszarze bezpieczeństwa IT ograniczały się do własnych sieci oraz systemów resortowych - jednak nawet w tym zakresie były prowadzone w sposób nierzetelny.

NIK zauważyła, że obowiązujące obecnie przepisy Prawa telekomunikacyjnego są wadliwie sformułowane i nie mogą być w praktyce wykorzystywane do realizacji zadań związanych z bezpieczeństwem IT. Z tego też względu Prezes Urzędu Komunikacji Elektronicznej zaniechał wykonywanie swoich obowiązków w zakresie pozyskiwania informacji o incydentach występujących w cyberprzestrzeni oraz informowania obywateli o zagrożeniach związanych z korzystaniem z Internetu.

Koordynowany przez Rządowe Centrum Bezpieczeństwa system zarządzania kryzysowego nie jest komplementarny i spójny z działaniami w zakresie bezpieczeństwa teleinformatycznego oraz w niewystarczającym stopniu uwzględnia nowe zagrożenia dla infrastruktury krytycznej państwa, jakimi są zagrożenia występujące w cyberprzestrzeni.

Policja uczestniczyła w działaniach zwalczających przestępczość komputerową, ale komendant główny nie zdecydował się na wdrożenia w służbie kompleksowego programu walki z zagrożeniami w cyberprzestrzeni.

MON wyjątkiem

Jedyną jednostką jaka przez NIK nie została skrytykowana było Ministerstwo Obrony Narodowej, które zdaniem kontrolerów aktywnie realizowało zadania w zakresie budowy resortowego systemu reagowania na incydenty komputerowe oraz uczestniczyło w budowie krajowego systemu ochrony cyberprzestrzeni.

Brak zasobów


Kierownictwo Agencji Bezpieczeństwa Wewnętrznego realizowało zadania związane z zapobieganiem i reagowaniem na incydenty komputerowe w systemach podmiotów administracji państwowej, polegające m.in. na stworzeniu i utrzymywaniu systemu wczesnego ostrzegania ARAKIS.GOV oraz Zespołu CERT.GOV.PL. Aktywność ABW podlegała jednak istotnym ograniczeniom, wynikającym w szczególności z niewystarczających zasobów i braku formalnego umocowania Zespołu CERT.GOV.PL.

Kierownictwo Naukowej i Akademickiej Sieci Komputerowej podejmowało liczne działania, które NIK oceniła jako dobre praktyki w zakresie ochrony cyberprzestrzeni. Dotyczyły one w szczególności powołania i utrzymywania zespołu CERT Polska.

Strategia

NIK krytycznie również ocenił prowadzone od 2008 roku prace nad narodową strategią ochrony cyberprzestrzeni. Kolejne wersje miały być zatwierdzane, mimo nierzetelności w ich przygotowaniu. W czerwcu 2013 r. Rada Ministrów przyjęła „Politykę ochrony cyberprzestrzeni Rzeczypospolitej Polskiej” - zdaniem NIK "dokument będący wynikiem źle rozumianego kompromisu, nieprecyzyjny i obarczony licznymi błędami merytorycznymi".  Po skontrolowaniu, okazało się jednak, co może przeczytać wcześniej, że powierzonych zadań instytucje państwowe nie realizowały.

"Praktyczne zastosowanie strategii w celu poprawy bezpieczeństwa teleinformatycznego państwa było raczej symboliczne" - konkluduje NIK  i przypomina, że nie istnieje żadna ustawa regulująca kwestie bezpieczeństwa teleinformatycznego. Co więcej, administracja państwowa nie dysponuje wiedzą na temat skali i rodzaju incydentów występujących w cyberprzestrzeni, a ustanowiony w Prawie telekomunikacyjnym system zbierania i rejestrowania takich informacji okazał się być całkowicie nieskuteczny.

W planach kryzysowych nie uwzględnia się możliwości ataku cybernetycznego.

Końcowa ocena


W ocenie NIK, ustalenia kontroli wskazują na konieczność bezzwłocznego podjęcia skoordynowanych, systemowych działań, prowadzących do wdrożenia realnych mechanizmów ochrony cyberprzestrzeni RP. W celu wyeliminowania najpoważniejszej przeszkody, która sparaliżowała aktywność państwa w tym zakresie w latach 2008-2014, tj. sprzecznych interesów poszczególnych instytucji publicznych, konieczne jest bezpośrednie zaangażowanie w realizację tych zadań najwyższego kierownictwa administracji rządowej - Rady Ministrów i Prezesa Rady Ministrów. Kolejnymi warunkami efektywnej ochrony cyberprzestrzeni, jest wdrożenie mechanizmów współpracy podmiotów prywatnych i państwowych oraz zapewnienie odpowiedniego finansowania działań związanych z bezpieczeństwem IT.